Dasar Keselamatan ICT
PENGENALAN
Dasar Keselamatan ICT (DKICT) mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) JKPTG.
Dasar ini juga menerangkan kepada semua pengguna di JKPTG mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT JKPTG.
OBJEKTIF
DKICT JKPTG diwujudkan untuk menjamin kesinambungan urusan JKPTG dengan meminimumkan kesan insiden keselamatan ICT.
SKOP
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti maklumat (contoh: fail, dokumen, data elektronik), perisian ( contoh: aplikasi dan sistem perisian ) dan fizikal ( contoh: komputer, peralatan komunikasi dan media magnet ). Dasar ini adalah terpakai oleh pengguna termasuk kakitangan, pembekal dan pakar runding yang mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT JKPTG.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada DKICT JKPTG dan perlu dipatuhi adalah seperti berikut:
a. Akses atas dasar perlu mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15;
b. Hak akses minimum
Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna / bidang tugas;
c. Akauntabiliti
Warga JKPTG adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT JKPTG;
d. Pengasingan
Tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian;
e. Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail;
f. Pematuhan
DKICT JKPTG hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT;
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan; dan
h. Saling Bergantungan
Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.
PEMBANGUNAN DAN PENYELENGGARAAN DASAR
1.1 Dasar Keselamatan ICT
1.1.1 Pelaksanaan Dasar
Pelaksanaan Dasar Pelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah JKPTG dibantu oleh Pasukan Pengurusan Keselamatan ICT yang terdiri daripada Timbalan Ketua Pengarah (Kemajuan Pengurusan dan Perundangan) iaitu Ketua Pegawai Maklumat (CIO); Pengarah Seksyen Maklumat Tanah iaitu Pengurus Komputer; Ketua Penolong Pengarah (ICT) Seksyen Maklumat Tanah iaitu Pegawai Keselamatan ICT (ICTSO); Ketua Penolong Pengarah (Pengurusan) Seksyen Maklumat Tanah iaitu Pegawai Pengurusan Keselamatan ICT (ICTMO); dan Pentadbir Sistem ICT iaitu Pegawai Teknologi Maklumat (Operasi) Seksyen Maklumat Tanah, Penolong Pegawai Teknologi Maklumat (Operasi) Seksyen Maklumat Tanah dan semua Penolong Pegawai Teknologi Maklumat Negeri.
1.1.2 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua pengguna JKPTG ( termasuk kakitangan, pembekal, pakar runding dll. )
1.1.3 Penyelenggaraan Dasar
DKICT Kerajaan adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan DKICT JKPTG:
a. kenal pasti dan tentukan perubahan yang diperlukan;
b. kemuka cadangan pindaan secara bertulis kepada ICTSO untuk pembentangan dan persetujuan Mesyuarat Jawatankuasa Pemandu ICT JKPTG - JPICT JKPTG ( dahulu Mesyuarat Jawatankuasa Aplikasi eKPTG - T2/2007)
c. perubahan yang telah dipersetujui oleh JPICT JKPTG dimaklumkan kepada semua; dan
d. dasar ini hendaklah dikaji semula sekurang-kurangnya sekali setahun.
1.1.4 Pengecualian Dasar
DKICT JKPTG adalah terpakai kepada semua pengguna ICT JKPTG dan tiada pengecualian diberikan.
ORGANISASI KESELAMATAN
2.1 Infrastruktur Organisasi Keselamatan
Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif organisasi.
2.1.1Ketua Jabatan – Ketua Pengarah JKPTG (KP JKPTG)
Peranan dan tanggungjawab KP JKPTG adalah seperti berikut:
a. memastikan pengguna memahami peruntukan-peruntukan di bawah DKICT JKPTG;
b. memastikan pengguna mematuhi DKICT JKPTG;
c. memastikan keperluan organisasi ( sumber kewangan, sumber kakitangan dan perlindungan keselamatan ) adalah mencukupi; dan
d. memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan didalam DKICT JKPTG.
2.1.2 Ketua Pegawai Maklumat ( CIO ) - Timbalan Ketua Pengarah (Kemajuan Pengurusan dan Perundangan) (TKP(KP))
TKP(KP) JKPTG adalah merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggung jawab beliau adalah seperti berikut:
a. membantu KP JKPTG dalam melaksanakan tugas - tugas yang melibatkan keselamatan ICT;
b. menentukan keperluan keselamatan ICT; dan
c. membangun dan menyelaras pelaksanaan pelan latihan dan program kesedaran mengenai keselamatan ICT.
2.1.3 Pengurus Komputer - Pengarah Seksyen Maklumat Tanah (Pengarah SMT)
Pengrah SMT adalah merupakan Pengurus Komputer JKPTG. Peranan dan tanggungjawab Pengurus Komputer adalah seperti berikut:
a. membaca, memahami dan mematuhi DKICT JKPTG;
b. mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan JKPTG;
c. menentukan kawalan akses pengguna terhadap aset ICT JKPTG;
d. melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada ICTSO; dan
e. menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT JKPTG.
2.1.4 Pegawai Keselamatan ICT (ICTSO) - Ketua Penolong Pengarah (ICT) Seksyen Maklumat Tanah (KPP (ICT) SMT)
Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:
a. mengurus keseluruhan program-program keselamatan ICT JKPTG;
b. menguatkuasakan DKICT JKPTG;
c. memberi penerangan dan pendedahan berkenaan DKICT JKPTG kepada pengguna;
d. mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan DKICT JKPTG;
e. menjalankan pengurusan risiko;
f. menjalankan audit, mengkaji semula, merumus tindak balas pengurusan agensi berdasarkan hasil penemuan dan menyediakan laporan mengenainya;
g. memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;
h. melaporkan insiden keselamatan ICT kepada Pasukan Tindak balas Insiden Keselamatan ICT (GCERT) dan memaklumkannya kepada CIO;
i. bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;
j. memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar DKICT JKPTG; dan
k. menyedia dan melaksanakan program-program kesedaran mengenai keselamatan ICT.
2.1.5 Pegawai Keselamatan Pengurusan ICT (ICTMO) - Ketua Penolong Pengarah (Pengurusan) Seksyen Maklumat Tanah (KPP (P) SMT)
Peranan dan tanggungjawab ICTMO yang dilantik adalah seperti berikut:
a. membaca, memahami dan mematuhi DKICT JKPTG;
b. membantu Pengurus Komputer mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan JKPTG;
c. membantu Pengurus Komputer menentukan kawalan akses pengguna terhadap aset ICT JKPTG;
d. membantu Pengurus Komputer melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada ICTSO; dan
e. membantu Pengurus Komputer menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT JKPTG.
f. membantu ICTSO mengurus keseluruhan program-program keselamatan ICT JKPTG;
g. membantu ICTSO menguatkuasakan DKICT JKPTG;
h. membantu ICTSO memberi penerangan dan pendedahan berkenaan DKICT JKPTG kepada pengguna;
i. membantu ICTSO mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan DKICT JKPTG
j. membantu ICTSO menyedia dan melaksanakan program-program kesedaran mengenai keselamatan ICT.
2.1.6 Pentadbir Sistem ICT - Pegawai Teknologi Maklumat Operasi SMT, Penolong Pegawai Teknologi Maklumat Operasi SMT dan Penolong Pegawai Teknologi Maklumat Negeri
Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:
a. mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas;
b. menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam DKICT JKPTG;
c. memantau aktiviti capaian harian pengguna
d. mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta;
e. menyimpan dan menganalisis rekod jejak audit; dan
f. menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.
2.1.6 Warga JKPTG – Semua Kakitangan JKPTG di Ibupejabat dan Negeri
Peranan dan tanggungjawab pengguna adalah seperti berikut:
a. membaca, memahami dan mematuhi DKICT JKPTG;
b. mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
c. lulus tapisan keselamatan;
d. melaksanakan prinsip-prinsip DKICT JKPTG dan menjaga kerahsiaan maklumat JKPTG;
e. melaksanakan langkah-langkah perlindungan seperti berikut :-
i) menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
ii) memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
iii) menentukan maklumat sedia untuk digunakan;
iv) menjaga kerahsiaan kata laluan;
v) mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
vi) memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan,penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
vii) menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;
g. menghadiri program-program kesedaran mengenai keselamatan ICT; dan
h. menandatangani surat akuan pematuhan DKICT JKPTG.
2.2 Pihak Ketiga
Objektif: Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga.
2.2.1 Keperluan Keselamatan Kontrak dengan Pihak Ketiga
Akses kepada aset ICT JKPTG perlu berlandaskan kepada perjanjian kontrak. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeteraikan.
1. DKICT JKPTG;
2. Tapisan Keselamatan;
3. Perakuan Akta Rahsia Rasmi 1972;
4. Hak Harta Intelek;
Nota 1: Surat Pekeliling Perbendaharaan Bilangan 2 Tahun 1995 bertajuk “Tatacara Penyediaan, Penilaian dan Penerimaan Tender” dan Surat Pekeliling Perbendaharaan Bilangan 3 Tahun 1995 bertajuk “Peraturan Perolehan Perkhidmatan Perundingan” yang berkaitan juga boleh dirujuk.
KAWALAN DAN PENGKELASAN ASET
3.1 Akauntabiliti Aset
Objektif : Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JKPTG.
3.1.1 Inventori Aset
Semua aset ICT JKPTG hendaklah direkodkan. Ini termasuklah mengenal pasti aset, mengelas aset mengikut tahap sensitivity aset berkenaan dan merekodkan maklumat seperti pemilik dan sebagainya. Setiap pengguna adalah bertanggung jawab ke atas semua aset ICT di bawah kawalannya.
3.2 Pengelasan dan Pengendalian Maklumat
Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian. 3.2.1 Pengelasan Maklumat Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:
1. Rahsia Besar;
2. Rahsia;
3. Sulit; atau
4. Terhad.
3.2.2 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut :
a. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
b. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
c. menentukan maklumat sedia untuk digunakan;
d. menjaga kerahsiaan kata laluan;
e. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
f. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan,penghantaran, penyampaian, pertukaran dan pemusnahan; dan
g. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
KESELAMATAN SUMBER MANUSIA
4.1 Keselamatan ICT Dalam Tugas Harian
Objektif: Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT JKPTG.
4.1.1 Tanggungjawab Keselamatan
Peranan dan tanggungjawab pengguna terhadap keselamatan ICT mestilah lengkap, jelas, di rekod, dipatuhi dan dilaksanakan serta dinyatakan di dalam fail meja atau kontrak. Keselamatan ICT merangkumi tanggungjawab pengguna dalam menyediakan dan memastikan perlindungan ke atas semua aset atau sumber ICT yang digunakan di dalam melaksanakan tugas harian.
4.1.2 Terma dan Syarat Perkhidmatan
Warga JKPTG yang dilantik hendaklah mematuhi terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa. 4.1.3 Perakuan Akta Rahsia Rasmi
Pengguna yang menguruskan maklumat terperingkat hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi
4.2 Menangani Insiden Keselamatan ICT
Objektif: Meminimumkan kesan insiden keselamatan ICT.
4.2.1 Pelaporan Insiden
Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dengan kadar segera:
a. Maklumat didapati hilang, didedahkan kepada pihak - pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa;
b. Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian;
c. Katalaluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan;
d. Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar;
e. Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak diingini.
Nota 2: Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah dirujuk.
4.3 Pendidikan
Objektif: Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.
4.3.1 Program Kesedaran Keselamatan ICT
Setiap pengguna perlu diberikan program kesedaran, latihan atau kursus mengenai keselamatan ICT yang mencukupi secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Program menangani insiden juga dilihat penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT JKPTG.
4.4 Tindakan Tatatertib
Objektif: Meningkat kesedaran dan pematuhan ke atas DKICT JKPTG.
4.4.1 Pelanggaran Dasar
Pelanggaran DKICT JKPTG boleh dikenakan tindakan tatatertib.
KESELAMATAN FIZIKAL
5.1 Keselamatan Kawasan
Objektif : Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis dan maklumat.
5.1.1 Perimeter Keselamatan Fizikal
Keselamatan fizikal adalah bertujuan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Langkah-langkah keselamatan fizikal tidak terhad kepada langkah-langkah berikut :
a. Kawasan keselamatan fizikal hendaklah di kenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko;
b. memperkukuhkan tingkap dan pintu serta dikunci untuk mengawal kemasukan;
c. Memperkukuhkan dinding dan siling;
d. Memasang alat penggera atau kamera;
e. Menghadkan jalan keluar masuk;
f. Mengadakan kaunter kawalan;
g. Menyediakan tempat atau bilik khas untuk pelawat-pelawat; dan
h. Mewujudkan perkhidmatan kawalan keselamatan.
5.1.2 Kawalan Masuk Fizikal
a. Setiap pengguna hendaklah memakai atau mengenakan pas keselamatan sepanjang waktu bertugas;
DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah & Galian (JKPTG) 20/46
b. Setiap pelawat boleh mendapat Pas Keselamatan Pelawat di pintu masuk ke kawasan atau tempat berurusan dan hendaklah dikembalikan semula selepas tamat lawatan;
c. Semua pas keselamatan hendaklah diserahkan balik kepada Jabatan apabila berhenti atau bersara;
d. Kehilangan pas mestilah dilaporkan dengan segera;
e. Hanya pengguna yang diberi kebenaran sahaja boleh mencapai atau menggunakan aset ICT JKPTG;
5.1.3 Kawasan Larangan
Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di JKPTG adalah bilik KP, TKP(P), TKP(KP) dan bilik server. Akses kepada bilik-bilik tersebut hanyalah kepada pegawai-pegawai yang diberi kuasa sahaja :
a. Secara umumnya peralatan ICT hendaklah dijaga dan dikawal dengan baik, supaya boleh digunakan bila perlu.
b. Pihak Ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti member perkhidmatan
c. Sokongan atau bantuan teknikal, serta mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai; dan
d. Semua peralatan yang melibatkan penghantaran, kemas kini dan penghapusan maklumat rahsia rasmi hendaklah dikawal dan mendapat kebenaran daripada KP.
5.2 Keselamatan Peralatan
Objektif : Melindung peralatan dan maklumat.
5.2.1 Perkakasan
Secara umumnya peralatan ICT hendaklah dijaga dan dikawal dengan baik supaya boleh digunakan bila perlu:
a. Setiap pengguna hendaklah menyemak dan memastikan semua perkakasan ICT di bawah kawalannya berfungsi dengan sempurna;
b. Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan;
c. Setiap pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya; dan
d. Sebarang bentuk penyelewengan atau salah guna perkakasan hendaklah dilaporkan kepada ICTSO.
5.2.2 Dokumen
Bagi memastikan integriti maklumat, langkah-langkah pengurusan dokumentasi yang baik dan selamat seperti berikut hendaklah dipatuhi:
a. memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin;
b. menggunakan tanda atau label keselamatan seperti Rahsia Besar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen;
c. menggunakan penyulitan (encryption) ke atas dokumen rahsia rasmi yang disediakan dan dihantar secara elektronik; dan
d. memastikan dokumen yang mengandungi bahan atau maklumat sensitif diambil segera dari pencetak.
5.2.3 Media Storan
Keselamatan media storan perlu diberi perhatian khusus kerana ianya berupaya menyimpan maklumat yang besar. Langkah-langkah pencegahan DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah & Galian (JKPTG) 22/46 seperti berikut hendaklah di ambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang di simpan dalam media storan adalah terjamin dan selamat :
a. penyediaan ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat;
b. akses untuk memasuki kawasan penyimpanan media hendaklah terhad kepada mereka atau pengguna yang dibenarkan sahaja;
c. penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu; dan
d. Pergerakan media storan hendaklah direkodkan.
5.2.4 Kabel
Kabel komputer hendaklah di lindung kerana boleh menjadi punca maklumat menjadi terdedah. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut :
a. Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan;
b. Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; dan
c. Melindung laluan pemasangan kabel sepenuhnya.
5.2.5 Penyelenggaraan
Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan dan integriti.
a. Semua perkakasan yang diselenggarakan hendaklah mematuhi spesifikasi pengeluar yang telah ditetapkan; DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah & Galian (JKPTG) 23/46
b. Perkakasan hanya boleh diselenggarakan oleh kakitangan atau pihak yang dibenarkan sahaja;
c. Semua perkakasan hendaklah disemak dan diuji sebelum dan selepas proses penyelenggaraan dilakukan; dan
d. Semua penyelenggaraan mestilah mendapat kebenaran daripada Pengarah Bahagian berkenaan.
5.2.6 Peminjaman Perkakasan Untuk Kegunaan di Luar Pejabat
Perkakasan yang dipinjam untuk kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Langkah-langkah berikut boleh diambil untuk menjamin keselamatan perkakasan :
a. Peralatan, maklumat atau perisian yang dibawa keluar pejabat mestilah mendapat kelulusan pegawai atasan dan tertakluk kepada tujuan yang dibenarkan; dan
b. Aktiviti peminjaman dan pemulangan peralatan mestilah direkodkan.
5.2.7 Peralatan di Luar Premis
Bagi perkakasan yang dibawa keluar dari premis JKPTG, langkah-langkah keselamatan hendaklah diadakan dengan mengambil kira risiko yang wujud di luar kawalan JKPTG:
a. Peralatan perlu dilindungi dan dikawal sepanjang masa; dan
b. Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian.
5.2.8 Pelupusan
Aset ICT yang hendak dilupuskan perlu melalui proses pelupusan semasa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan JKPTG:
a. Semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau pembakaran;
b. Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan; dan
c. Maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 7 Tahun 1995 bertajuk “Garis Panduan Pelupusan Peralatan Komputer”.
5.2.9 Clear Desk dan Clear Screen
Semua maklumat dalam apa jua bentuk media hendaklah di simpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja warga atau di paparan skrin apabila pekerja tidak berada di tempatnya :
a. Gunakan kemudahan password screen saver atau log keluar apabila meninggalkan komputer;
b. Bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinet fail yang berkunci.
5.3 Keselamatan Persekitaran
Objektif: Melindungi aset ICT JKPTG dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.
5.3.1 Kawalan Persekitaran
Bagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, Semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK). Bagi menjamin keselamatan persekitaran, langkah-langkah berikut hendaklah di ambil:
a. Merancang dan menyediakan pelan keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti;
b. Semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan;
c. Peralatan perlindungan hendaklah dipasang di tempat yang bersesuaian, mudah dikenali dan dikendalikan;
d. Bahan mudah terbakar hendaklah disimpan di luar kawasan kemudahan penyimpanan aset ICT;
e. Semua bahan cecair hendaklah diletakkan di tempat yang bersesuaian dan berjauhan dari aset ICT;
f. Pengguna adalah dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan komputer; dan
g. Semua peralatan perlindungan hendaklah disemak dan diuji sekurang-kurangnya dua (2) kali dalam setahun.
h. keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.
5.3.2 Bekalan Kuasa
a. Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalan elektrik dan bekalan yang sesuai hendaklah disalurkan kepada peralatan ICT;
b. Peralatan sokongan seperti UPS (Uninterruptable Power Supply) dan penjana (generator) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server supaya mendapat bekalan kuasa berterusan; dan
c. Semua peralatan sokongan bekalan kuasa hendaklah disemak dan diuji secara berjadual.
5.3.3 Prosedur Kecemasan
a. Setiap pengguna hendaklah membaca, memahami dan mematuhi prosedur kecemasan dengan merujuk kepada Garis Panduan Keselamatan MAMPU 2004; dan
b. Kecemasan persekitaran seperti kebakaran hendaklah dilaporkan kepada Pegawai Keselamatan Jabatan (PKJ yang dilantik mengikut aras;
PENGURUSAN OPERASI DAN KOMUNIKASI
6.1 Pengurusan Prosedur Operasi
Objektif: Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.
6.1.1 Pengendalian Prosedur
a. Semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal;
b. Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat,
c. Pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan
d. Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.
6.1.2 Kawalan Perubahan
a. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu;
b. Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan
c. mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;
d. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan
e. Semua aktiviti perubahan atau pengubahsuaian hendaklah di rekod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.
6.1.3 Prosedur Pengurusan Insiden
Bagi memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan; prosedur pengurusan insiden mestilah mengambil kira kawalan-kawalan berikut:
a. mengenal pasti semua jenis insiden keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran;
b. menyedia pelan kontigensi dan mengaktifkan pelan kesinambungan perkhidmatan;
c. menyimpan jejak audit dan memelihara bahan bukti; dan
d. menyediakan tindakan pemulihan segera.
6.2 Perancangan dan Penerimaan Sistem
Objektif: Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.
6.2.1 Perancangan Kapasiti
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian
b. untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan
c. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.
6.2.2 Penerimaan Sistem
Semua sistem baru (termasuklah sistem yang dikemas kini atau diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui.
6.3 Perisian Berbahaya
Objektif : Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus dan trojan.
6.3.1 Perlindungan dari Perisian Berbahaya
a. Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection System (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;
b. Memasang dan menggunakan hanya perisian yang berdaftar dan dilindungi di bawah Akta Hakcipta( Pindaan ) Tahun 1997;
c. Mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya;
d. Mengemas kini pattern anti virus setiap minggu;
e. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
f. Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
g. Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya;
h. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan; dan
i. Memberi amaran mengenai ancaman keselamatan ICT seperti serangan virus.
6.4 Housekeeping
Objektif: Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada bila-bila masa.
6.4.1 Penduaan
Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan seperti yang dibutirkan hendaklah dilakukan setiap kali konfigurasi berubah. Salinan penduaan hendaklah direkodkan dan di simpan di off site.
a. Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;
b. Membuat salinan penduaan ke atas semua data dan maklumat mengikut keperluan operasi; dan
c. Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan.
6.4.2 Sistem Log
a. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;
b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan
c. Sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan, hendaklah dilaporkan kepada ICTSO.
6.5 Pengurusan Rangkaian
Objektif: Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.
6.5.1 Kawalan Infrastruktur Rangkaian
Infrastruktur Rangkaian mestilah di kawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertimbangkan :-
a. Tanggungjawab atau kerja-kerja operasi rangkaian dan komputer hendaklah diasingkan untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan;
b. Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;
c. Capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja;
d. Semua peralatan mestilah melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi;
e. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kerajaan serta dikonfigurasi oleh Pentadbir Sistem ICT;
f. Semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan JKPTG;
g. Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran ICTSO;
h. Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat JKPTG;
i. Memasang Web Content Filter pada Internet Gateway untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”;
j. Sebarang penyambungan rangkaian yang bukan di bawah kawalan JKPTG hendaklah mendapat kebenaran ICTSO;
k. Semua pengguna hanya dibenarkan menggunakan rangkaian JKPTG sahaja. Penggunaan modem adalah dilarang sama sekali; dan
l. Memastikan keperluan perlindungan ICT adalah bersesuaian dan mencukupi bagi menyokong perkhidmatan yang lebih optimum.
6.6. Pengurusan Media
Objektif: Melindungi aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawal.
6.6.1 Penghantaran dan Pemindahan
Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada KP terlebih dahulu.
6.6.2 Prosedur Pengendalian Media
a. Melabelkan semua media mengikut tahap sensitivity sesuatu maklumat;
b. Menghadkan dan menentukan capaian media kepada semua yang sah sahaja;
c. Menghadkan pengedaran data atau media untuk tujuan yang dibenarkan;
d. Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan;
e. Menyimpan semua media di tempat yang selamat; dan
f. Media yang mengandungi maklumat rahsia rasmi hendaklah dihapus atau dimusnahkan mengikut prosedur yang betul dan selamat.
6.6.3 Keselamatan Sistem Dokumentasi
a. Memastikan sistem penyimpanan dokumentasi mempunyai ciri-ciri keselamatan;
b. Menyediakan dan memantapkan keselamatan sistem dokumentasi; dan
c. Mengawal dan merekodkan semua aktiviti capaian sistem dokumentasi sedia ada.
6.7 Keselamatan Komunikasi
Objektif: Melindungi aset ICT melalui sistem komunikasi yang selamat. 6.7.1 Internet
a. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;
b. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;
c. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Ketua Jabatan sebelum dimuat naik ke Internet;
d. Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;
e. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh JKPTG;
f. Hanya pegawai yang mendapat kebenaran sahaja boleh menggunakan kemudahan perbincangan awam seperti newsgroup dan bulletin board. Walau bagaimana pun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada KP terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan dan
g. Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”.
6.7.2 Mel Elektronik
a. Akaun atau alamat mel elektronik (emel) yang diperuntukkan oleh JKPTG sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;
b. Setiap emel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh JKPTG; DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah Galian (JKPTG) 35/46
c. Memastikan subjek dan kandungan emel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
d. Penghantaran emel rasmi hendaklah menggunakan akaun emel rasmi dan pastikan alamat emel penerima adalah betul;
e. Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu, tidak melebihi dua (2) megabait semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;
f. Pengguna hendaklah mengelak dari membuka emel daripada penghantar yang tidak diketahui atau diragui;
g. Pengguna hendaklah mengenal pasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui emel;
h. Setiap emel rasmi yang dihantar atau diterima hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;
i. Emel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;
j. Pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat; dan
k. Maklumat lanjut mengenai keselamatan emel bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”.
6.7.3 Rangkaian Setempat ( LAN )
Rangkaian setempat atau Local Area Network ( LAN ) mempunyai banyak kelebihan. Oleh itu, langkah- langkah keselamatan perlu di ambil untuk mengelakkan :
a. Warga pekerja kerajaan menyambung laptop pada mana – mana port LAN yang tidak digunakan;
b. Pekerja yang tidak mempunyai kebenaran untuk mengakses pada sistem dan memastikan :
i) Hanya komputer hak milik kerajaan sahaja yang dibenarkan untuk membuat penyambungan pada rangkaian. Pelawat
ii) yang ingin mengakses pada rangkaian perlu mendapatkan kebenaran dari Pentadbir Sistem ICT.
iii) Pengguna yang tidak mempunyai kebenaran akses seharusnya tidak diberikan kemudahan untuk mengakses sistem.
Hubs, bridges dan routers pada hari ini menawarkan banyak kelebihan – kelebihan untuk memudahkan pengguna. Kelebihan – kelebihan ini berguna pada pengguna namun begitu, penambahan kemudahan ini juga perlu ditambah dengan langkah – langkah keselamatan bagi memastikan sistem tidak akan terganggu.
KAWALAN CAPAIAN
7.1 Dasar Kawalan Capaian
Objektif : Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT JKPTG.
7.1.1 Keperluan Dasar
Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada.
7.2 Pengurusan Capaian Pengguna
Objektif : Mengawal capaian pengguna ke atas aset ICT JKPTG.
7.2.1 Akaun Warga JKPTG
Warga JKPTG Pengguna Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenal pasti pengguna dan aktiviti yang dilakukan, langkah-langkah berikut hendaklah dipatuhi:
a. akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan;
b. akaun pengguna mestilah unik;
c. akaun pengguna yang di wujud pertama kali akan diberi tahap capaian paling minimum iaitu untuk melihat dan membaca sahaja. Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada pemilik sistem ICT terlebih dahulu;
d. pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan jabatan. Akaun boleh ditarik balik jika penggunaannya melanggar peraturan;
e. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah & Galian (JKPTG) 38/46
f. Pentadbir Sistem ICT boleh membeku dan menamatkan akaun Pengguna atas sebab-sebab berikut;
i) Pengguna bercuti panjang atau menghadiri kursus di luar pejabat dalam tempoh waktu melebihi dua (2) minggu
ii) Bertukar bidang tugas kerja;
iii) Bertukar ke agensi lain;
iv) Bersara; atau
v) Ditamatkan perkhidmatan
7.2.2 Jejak Audit
Jejak audit akan merekodkan semua aktiviti sistem. Jejak audit juga adalah penting dan digunakan untuk tujuan penyiasatan sekiranya berlaku kerosakan atau penyalahgunaan sistem. Aktiviti jejak audit mengandungi:
a. maklumat identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan program yang digunakan;
b. aktiviti capaian pengguna ke atas sistem ICT sama ada secara sah atau sebaliknya; dan</p>
c. maklumat aktiviti sistem yang tidak normal atau aktiviti yang tidak mempunyai ciri-ciri keselamatan.
Pentadbir Sistem ICT hendaklah menyemak catatan jejak audit dari semasa ke semasa dan menyediakan laporan jika perlu. Ini akan dapat membantu mengesan aktiviti yang tidak normal dengan lebih awal. Jejak audit juga perlu dilindungi dari kerosakan, kehilangan, penghapusan, pemalsuan dan pengubahsuaian yang tidak dibenarkan.
7.3 Kawalan Capaian Sistem dan Aplikasi
Objektif: Melindungi sistem maklumat dan aplikasi sedia ada dari sebarang bentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.
7.3.1 Sistem Maklumat dan Aplikasi
Capaian sistem dan aplikasi di JKPTG adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkahlangkah berikut hendaklah dipatuhi:
a. pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan;
b. setiap aktiviti capaian sistem maklumat dan aplikasi pengguna hendaklah direkodkan (log) bagi mengesan aktiviti-aktiviti yang tidak diingini;
c. memaparkan notis amaran pada skrin komputer pengguna sebelum memulakan capaian bagi melindungi maklumat dari sebarang bentuk penyalah gunaan;
d. menghadkan capaian sistem dan aplikasi kepada tiga (3) kali percubaan. Sekiranya gagal, akaun atau kata laluan pengguna akan disekat;
e. memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah; dan
f. capaian sistem maklumat dan aplikasi melalui jarak jauh adalah digalakkan. Walau bagaimana pun, penggunaannya terhad kepada perkhidmatan yang dibenarkan sahaja.
7.4 Peralatan Komputer Mudah Alih
Objektif : Memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan komputer mudah alih.
7.4.1 Penggunaan Peralatan Komputer Mudah Alih
a. Merekodkan aktiviti keluar masuk penggunaan peralatan komputer mudah alih bagi mengesan kehilangan atau pun kerosakan; dan
b. Komputer mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan.
PEMBANGUNAN DAN PENYELENGARAAN SISTEM
8.1 Keselamatan Dalam Membangunkan Sistem dan Aplikasi
Objektif : Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang bersesuaian.
8.1.1 Keperluan Keselamatan
a. Pembangunan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat;
b. Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang dimasukkan, sistem pemprosesan untuk menentukan sama ada program berjalan dengan betul dan sempurna dan; sistem output untuk memastikan data yang telah diproses adalah tepat; dan
c. Sebaiknya-baiknya, semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.
8.2 Kriptografi
Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat.
8.2.1 Penyulitan
Warga JKPTG hendaklah membuat penyulitan ke atas maklumat sensitif atau maklumat rahsia rasmi pada setiap masa.
8.2.2 Tandatangan Digital
Penggunaan tandatangan digital adalah dimestikan kepada pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik.
8.2.3 Pengurusan Kunci
Pengurusan kunci hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan dari diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut.
8.3 Fail Sistem
Objektif: Memastikan supaya fail sistem dikawal dan dikendalikan dengan baik dan selamat.
8.3.1 Kawalan Fail Sistem
a. Proses pengemas kini fail sistem hanya boleh dilakukan oleh Pentadbir Sistem ICT atau pegawai yang berkenaan dan mengikut prosedur yang telah ditetapkan;
b. Kod atau atur cara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji;
c. Mengawal capaian ke atas kod atau atur cara program bagi mengelakkan kerosakan, pengubah suaian tanpa kebenaran, penghapusan dan kecurian; dan
d. Mengaktifkan audit log bagi merekodkan semua aktiviti pengemas kinian untuk tujuan statistik, pemulihan dan keselamatan.
8.4 Pembangunan dan Proses Sokongan
Objektif: Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.
8.4.1 Kawalan Perubahan
Perubahan atau pengubah suaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai.
PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
9.1 Dasar Kesinambungan Perkhidmatan
Objektif : Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan.
9.1.1 Pelan Kesinambungan Perkhidmatan
Pelan kesinambungan perkhidmatan hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh JPICT dan perkara-perkara berikut perlu diberi perhatian:
a. mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;
b. melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;
c. mendokumentasikan proses dan prosedur yang telah dipersetujui;
d. mengadakan program latihan kepada pengguna mengenai prosedur kecemasan;
e. membuat penduaan; dan
f. menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali.
PEMATUHAN
10.1 Pematuhan dan Keperluan Perundangan
Objektif: Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada DKICT JKPTG.
10.1.1 Pematuhan Dasar
Setiap pengguna hendaklah membaca, memahami dan mematuhi DKICT JKPTG, dan undang – undang atau peraturan – peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di JKPTG termasuk maklumat yang disimpan di dalamnya adalah hak milik Kerajaan dan KP berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain dari tujuan yang telah ditetapkan. Tindakan : Pengguna
10.1.2 Keperluan Perundangan
Berikut adalah keperluan perundangan atau peraturan – peraturan lain yang berkaitan yang perlu dipatuhi oleh pengguna :
a. Arahan Keselamatan;
b. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;
c. Malaysian Public Sector Management of Information and Communications Technology Security Handbook ( MyMIS );
d. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi ICT”;
e. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Pengguna dan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”; DASAR KESELAMATAN ICT Jabatan Ketua Pengarah Tanah & Galian (JKPTG) 46/46
f. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam;
g. Akta Tanda Tangan Digital 1997;
h. Akta Jenayah Komputer 1997;
i. Akta Hak cipta (Pindaan) Tahun 1997; dan
j. Akta Komunikasi dan Multimedia 1998.
Rujukan :
i) MALAYSIAN PUBLIC SECTOR MANAGEMENT OF INFORMATION & COMMUNICATIONS TECHNOLOGY SECURITY HANDBOOK (MyMIS)
ii) DKICT( MAMPU )
